[Actualización 21/03/2024] Acceso sin restricción en productos de Eaton

Fecha de publicación 27/11/2023

Identificador

INCIBE-2023-0519

Importancia

4 - Alta

Recursos Afectados

NM3: todas las versiones hasta la 1.0.3;
NM2: todas las versiones hasta la 3.1.8;
G4 ePDU: todas las versiones hasta la 2.4.1;
IPM2: todas las versiones hasta la 2.7.1.

Descripción

Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios que podría permitir a un usuario válido obtener acceso sin restricciones al dispositivo.

Solución

Para NM3, actualizar a la versión Eaton Network-M3 firmware v1.0.4.
Para G4, ePDU actualizar a la versión Eaton G4 Rack PDU firmware v2.4.2.

Para los productos sin actualización se recomienda seguir los pasos de mitigación detallados en el aviso original (ver 'Referencias').

[Actualización 21/03/2024] Actualizar IPM2 a la versión de firmware 2.7.2, y NM2 a la versión de firmware 3.1.12.

Detalle

Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios de algunos productos, que cuando se configuran con un directorio activo inseguro, los productos permiten a un atacante obtener acceso sin restricciones. Cuando los productos se implementan con un directorio activo configurado de forma insegura son vulnerables a un problema de seguridad, que permite a un usuario válido obtener acceso sin restricciones al dispositivo.

Listado de referencias

[Actualización 21/03/2024] User Management System Vulnerability

Etiquetas